Kontakt in pripombe |
Integracija sistema - primer Za primer sem izbral vzrorčno podjetje kjer je izbran Microsoft Active directory kot centralni sistem administriranja omrežja in W2k kot osnovna strežniška platforma. Podjetje, ki se ukvarja z razvojem programske opreme z Java razvojnimi orodji se je odločilo, razvoj delno prenesti na Linux delovne postaje, ki funkcionalno ustrezajo potrebam razvijalcev. Hkrati bi želeli ohraniti centralni sistem administriranja preko AD. Ideja se kar se tiče podobnih implementacij razlikuje od meni znanih objavljenih v nekaj malenkostih, ki jih je možno takoj opaziti, slike in datoteke so zaradi varnosti iz drugega okolja, vse skupaj pa je le odlomek ideje. Pravno je potrebno urediti še licenčna razmerja, kar pa ni tehnična problematika in ga tu ne bom razdelal. Model je možno implementirati tudi v Windows 2003 AD in sicer so tu kratka navodila in datoteka, ki naredi potrebne spremembe v shemi (popravite objekte za svojo domeno), in se lahko pristopi k Windows 2003 AD nadgradnji iz Windows 2000 AD. Za uskladitev z RFC 2307 je potrebno narediti še nekaj dodatnih posegov za kar vam bom z veseljem odgovoril, če bo potrebno. Če je kdo opazil podobno implementacijo z w2k3 AD bom zelo vesel če me obvesti kje se nahaja. Praktični način integracije RH 7.3 linux-a v Active directory Uporabljen je MS Active directory LDAP strežnik kot vir informacij oziroma atributov objektov uporabnikov ki jih potrebujemo za dostop in kerberos server kot autentifikacijski mehanizem. Lahko bi uporabili tudi LDAP autentifikacijo vendar bi bilo potem potrebno konfigurirati varen dostop, do strežnika preko SSL povezave, ker se uporabniška gesla v nasprotnem primeru prenašajo kot plain text. Na linux strani so uporabljeni nss_ldap pam_ldap in pam_krb5 instalacijski moduli katere vsebujejo vse pomembnejše distribucije. Osnovna shema aktivnega direktorija še ne vsebuje vseh potrebnih atributov za objekte zato jo bo potrebno dopolniti, da bo ustrezala RFC2307. 1. Nadgradnja sheme aktivnega direktorija Navodila za nadgradnjo sheme s potrebnimi objekti se nahajajo na http://jaxen.ratisle.net/~jj/nss_ldap-AD_Integration_how-to.php , najbolj praktično pa je, da uporabite orodja, katera je napisal Maxime Batourine in ki vam hkrati omogočajo dodajanje atributov uporabnikom kar iz Active directory users and computers - http://www.css-solutions.ca/ad4unix/ . Nadgradnja sheme je podobna nadgradnji Microsoft Services for UNIX. 2. Preverimo, če imamo instalirane potrebne module
RPM moduli, ki morajo biti instalirani: 3. Priredimo konfiguracijske datoteke, nss_ldap, pam_krb5 /etc/ldap.conf izgleda takole: # nss_base_passwd
cn=Users,dc=marcina,dc=net nss_map_objectclass posixAccount User ssl no Pozor: vsakdo, ki se logira v shell ima možnost brati to datoteko in lahko vidi geslo - bindpw, zato je potrebno ali onemogočiti dostop do shell-a ali pa kreirati domenskega uporabnika, ki nima nobenih drugih pravic razen branje sheme Aktivnega direktorija. Datoteko je seveda potrebno prirediti vaši domeni in LDAP strežniku. /etc/krb5.conf Priredite jo na svojo domeno paziti pa je treba na velike in male črke. [logging] /etc/nsswitch.conf Uredite jo lahko z orodjem authconfig kakor kasneje opisane pam konfiguracijske datoteke, vsebovati pa mora najmanj to: passwd: files ldap PAM se lahko konfigurira na dva različna načina:
Uporabili bomo drugo varijanto v kateri bom opisal autentifikacijo logiranja na konzolo ali telnet. Poženemo program authconfig in označimo LDAP ter pritisnemo Next.
Na naslednjem ekranu označimo shadow, lahko tudi md5 ter ldap in nato še kerberos
Potrebno je še urediti datoteko /etc/pam.d/login in /etc/pam.d/system-auth, da izločimo pam_ldap za geslo in omogočimo uporabnikom, ki se še niso logirali kriranje njihovega domačega direktorija. Za ostale module je odsvisno os potreb potrebno narediti enako spremembo potrebnih datotek. /etc/pam.d/login #%PAM-1.0 /etc/pam.d/system-auth #%PAM-1.0 4. Uporabniki Preostane nam le še, da že obstoječim uporabnikom dodamo unix atribute. Lahko uporabimo plugin, ad4unix kar iz Active directory users and computers ali z orodjem ldp.exe, ki se nahaja na W2k server instalacijskem cd-ju.
Osnovni primer integracije je tako končan, implementirati se da še marsikaj, med drugim login v X-e in nekaj drugih aplikacij. |
|
Pripombe in pojasnila: tu |
Avtor strani: Matjaž Marcina 2003-2005, vse pravice pridržane